Kopieren Sie Splunk Enterprise Event Ingestion Profile mithilfe der Export-/Importfunktion von einer Instanz in eine andere

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Sie können Splunk Enterprise Event Ingestion -Profileinstellungen aus einer Now Platform -Instanz in eine andere Now Platform -Instanz exportieren und importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Diese Funktionalität ermöglicht es dem Sicherheitsadministrator, Profile, die in einer Instanz Now Platform, z. B. außerhalb der Produktion, getestet und verifiziert wurden, in eine andere Now Platform -Instanz, z. B. die Produktion, zu kopieren, ohne alle Konfigurationseinstellungen wiederholen zu müssen. Zu den Einstellungen, die exportiert und importiert werden, gehören Profilname, Korrelationsregeln, Zuordnungen, Filter, Zusammenfassungskriterien, Feldübersetzungen, abgerufene Beispieldaten, Zeitplanung und Quellinformationen der Konfigurationskachel.

    Hinweis:
    Wenn Sie einen Profiltyp für die manuelle Ereignisweiterleitung exportieren, werden die für die Beispielfeldzuordnung verwendeten Anhangdaten kopiert. Die Anhangdatei selbst wird jedoch nicht exportiert.

    Prozedur

    1. Navigieren zu Alle > Splunk-Integration > Splunk-Ereignisprofilean.
    2. Wählen Sie ein Profil aus, das Sie in eine andere Now Platform -Instanz exportieren möchten.
      Sie können mehrere Profile für den Export auswählen.
    3. Klicken Sie im Menü Aktionen auf Exportieren.
    4. Wenn die Meldung angezeigt wird, dass der Export abgeschlossen ist, klicken Sie auf Herunterladen.
      Die folgende Abbildung zeigt den Export eines Splunk -Profils (manuelles Profil 2) aus Ihrer Now Platform -Instanz (psand.service-now.com).Splunk-Profile werden exportiert.

      Die exportierte Datei payload.xml wird auf Ihren Computer heruntergeladen. Die Datei enthält den Profilnamen, Korrelationsregeln, Zuordnungen, Filter, Zusammenfassungskriterien, Feldübersetzungen, abgerufene Beispieldaten, Zeitplanung und Quellinformationen der Konfigurationskachel. Wenn Sie mehrere Profile auswählen und herunterladen, werden sie in derselben Datei „payload.xml“ angezeigt.

      Sie können jetzt das Profil in einer anderen Now Platform -Instanz importieren.

    5. Navigieren zu Splunk-Integration > Splunk-Ereignisprofilean.
    6. Klicken Sie auf Importieren.
    7. Klicken Sie auf Datei auswählen, und wählen Sie die XML-Datei auf Ihrem Computer aus.
    8. Klicken Sie auf Hochladen.
    9. Klicken Sie auf Profile schließen und neu laden.
      Die folgende Abbildung zeigt den Import eines Splunk -Profils (Manuelles Profil 2) aus der Instanz Now Platform (psand.service-now.com) in eine andere Instanz Now Platform (ppsand.service-now.com).

      Splunk-Profile werden importiert.

      Sie haben das Profil erfolgreich aus einer anderen Instanz von Now Platform importiert.

      Stellen Sie sicher, dass die exportierte Quelle (API-Account SplunkSplunk und URL des Servers []) und die Konfigurationseinstellungen für den MID-Server gültig und in der importierten Instanz Now Platform verfügbar sind. Aktualisieren Sie bei Bedarf Ihre Splunk Enterprise Event Ingestion -Konfiguration.

    10. Wahlweise: Überprüfen Sie die MID-Server-Einstellungen, nachdem Sie ein Profil importiert haben.
    11. Wahlweise: Navigieren zu Security Operations > Integrationskonfigurationenan.
    12. Wahlweise: Wählen Sie die Konfigurationskachel Splunk Enterprise Event Ingestion aus, und klicken Sie auf Aktualisieren.
    13. Wahlweise: Überprüfen und aktualisieren Sie die Details zur Quelle und zum MID-Server nach Bedarf.